Internal Audit ISO 27001:2022

ISO 27001:2022 merupakan versi terbaru dari standar sistem manajemen keamanan informasi yang diterbitkan oleh ISO (international organization of standardization). Tujuan standar ini adalah untuk membantu organisasi dalam menerapkan, mengelola, serta mempertahankan  informasi penting dari risiko pencurian data yang dilakukan oleh peretas. Dalam proses penerapan standar ISO 27001 perusahaan perlu melaksanakan audit internal untuk mengevaluasi pengelolaan bisnis perusahaan, khususnya terkait sistem keamanan informasi yang diterapkan.

Apa itu Internal Audit?

Internal audit membantu organisasi dalam meningkatkan sistem manajemen keamanan informasi dari waktu ke waktu dan memastikan bahwa sistem manajemen tersebut masih memenuhi persyaratan sertifikasi ISO 27001. Proses internal audit dapat dilakukan oleh pihak internal perusahaan melalui penunjukan auditor yang memiliki kualifikasi yang cukup. Namun, jika tidak ada personil yang sesuai kualifikasinya, maka Perusahaan dapat menggunakan pihak eksternal atau menggunakan jasa konsultan ISO. 

Standar ISO 27001:2022 menjabarkan sejumlah persyaratan untuk melakukan audit internal yang terdapat dalam klausul 9.2. Klausul ini mensyaratkan bahwa audit internal harus: 

1. Dilakukan pada interval waktu yang telah direncanakan.
2. Menentukan apakah sistem manajemen keamanan informasi telah memenuhi standar organisasi serta persyaratan ISO 27001.
3. Melakukan dokumentasi sebagai bagian dari program audit formal.
4. Dilaksanakan oleh auditor yang independen dan tidak memihak.

Baca juga: Pengelolaan kontrol akses dalam ISO 27001

Tujuan Internal Audit 

Audit Internal merupakan bagian dari evaluasi kinerja dari SMKI dengan tujuan untuk:

1. Memastikan efektivitas penerapan SMKI.
2. Memantau kepatuhan terhadap kebijakan dan tujuan SMKI.
3. Memberikan bukti evaluasi terhadap SMKI.
4. Memastikan kesesuaian terhadap persyaratan SMKI ISO 27001 maupun persyaratan pemerintah.
5. Peningkatan berkelanjutan terhadap SMKI.
6. Menilai efektivitas manajemen risiko.

Proses Internal Audit ISO 27001

Setidaknya terdapat 5 tahapan dalam melakukan internal audit pada sistem manajemen keamanan informasi ISO 27001, yaitu: 

1. Membuat Rencana Audit 

Langkah pertama dalam melakukan internal audit adalah dengan membuat rencana audit. Organisasi harus menetapkan sistem informasi dan aset mana yang harus disertakan dalam penilaian. Selanjutnya, organisasi perlu mengidentifikasi auditor internal yang memenuhi kualifikasi.

2. Mengumpulkan semua bukti dan tinjauan dokumen

Auditor perlu meninjau kebijakan keamanan informasi dan kontrol yang telah organisasi terapkan untuk melindungi sistem manajemen keamanan informasi yang ada.

3. Melakukan internal audit

Auditor melaksanakan audit dengan menilai dan meninjau dokumentasi dan kontrol. Hal ini sangat perlu dilakukan karena dapat membantu organisasi dalam mengidentifikasi kerentanan.

4. Membuat laporan internal audit

Laporan internal audit ISO 27001 harus mencakup:

• Pendahuluan yang merangkum ruang lingkup audit, tujuan, jadwal, dan penilaian.
• Ringkasan eksekutif yang menjelaskan temuan-temuan utama audit.
• Panduan tentang siapa yang harus meninjau laporan dan apakah informasi yang terkandung di dalamnya harus diklasifikasikan.
• Analisis terperinci atas temuan audit, termasuk rekomendasi dan tindakan perbaikan.
• Pernyataan yang menjelaskan batasan ruang lingkup audit.

5. Tinjauan manajemen

Tahapan terakhir yaitu tinjauan manajemen, dimana pada tahapan ini auditor akan mempresentasikan temuan audit kepada manajemen dan pihak-pihak berkepentingan. Dalam hal ini auditor perlu menyampaikan ketidaksesuaian yang ditemukan dan diidentifikasi, serta mendiskusikan peluang untuk meningkatkan sistem manajemen keamanan informasi.

Baca juga: 14 kontrol annex A pada ISO 27001

Solusmart Consulting merupakan jasa konsultasi yang sudah berpengalaman dalam membantu perusahaan memenuhi kebutuhan mereka terkait sistem manajemen. Kami mempunyai tenaga ahli yang sudah profesional dan siap melakukan pelayanan yang terbaik untuk meningkatkan sistem manajemen keamanan informasi Anda.